遠端分支和域控制器
我有一個非常小但分佈式的網路。在中央辦公室,有一個 Windows Server 2008 R2 虛擬機和幾個 Linux 虛擬機在同一個機器上執行。有兩台執行 Windows7 的客戶端 PC。在遠端位置,有一台客戶端 PC,目前通過其中一個 Linux 伺服器使用 OpenVPN 連接到中央辦公室。
我想從工作組移動到管理域以更好地控制組策略。我無法證明額外的伺服器硬體或 Microsoft 許可證是合理的(這些事情很荒謬),但可以輕鬆地將更多虛擬機添加到現有伺服器。
在我看來,我有幾個決定要做,每個決定都有幾個選擇。
哪個伺服器執行域
- 視窗伺服器 2008
- 傳統廣告解決方案
- 沒有其他許可證無法添加備份控制器
- Windows 伺服器也執行 FTP 和 AS 功能;AD 伺服器通常只託管 AD。
- 帶有 Samba 的 Linux 機器之一)
- 不是傳統的廣告解決方案(我是否放棄了任何功能?)
- 可以輕鬆(閱讀:便宜)添加備份控制器
- 如有必要(不理想),可以在遠端位置添加一個 DC
如何驗證/授權遠端位置
- 在遠端位置添加遠端 Linux DC(對於一個遠端客戶端來說似乎有點矯枉過正)
- 在登錄 Windows 之前以某種方式連接到 VPN(這甚至可能嗎?)
- 在沒有 VPN 的情況下將我的廣告暴露在網際網路上。(似乎是一個可怕的想法)
我有什麼選擇嗎?這對於小型企業來說是很常見的情況,我無法想像這些沒有 IT 的公司會購買多個 WinServer 盒子來設置獨立 AD、獨立備份 AD 的傳統解決方案,然後再購買另一個盒子來託管其他所有內容……
我是一個 Linux 人,我的手很髒,但沒有豐富的 IT 經驗。
理想的解決方案是建立一個站點到站點的 VPN 隧道並在主站點處理針對 DC 的所有身份驗證。(這當然取決於您的網路設備或您可以在每個站點設置的任何網關伺服器。)
如果您在遠端站點放置第二個 DC,則在連接兩個站點時會遇到同樣的問題,以便 DC 可以相互通信。而且,是的,將廣告暴露在公共網路上是有史以來最糟糕的想法。而且,讓我補充一點,使用 Linux 作為您的輔助 DC 也讓我覺得這不是一個好主意。我敢打賭它可以做到,但是當 Windows DC 出現故障並且您必須嘗試恢復您唯一的 Windows DC 時,我不想在身邊。可能“足夠好”,但是,就像我說的那樣,我不會相信它,如果我不能相信它,為什麼一開始就打擾它呢?
如果您不能進行站點到站點 VPN,具體取決於您使用的確切 VPN 軟體,實際上可以在沒有使用者上下文的情況下連接遠端客戶端 VPN(在登錄 Windows 之前),是的,儘管我會建議一個更簡單的想法是允許記憶體域憑據和/或非域受限使用者帳戶。但是,當需要更改密碼時,為僅具有 VPN 訪問權限的客戶端記憶體域憑據可能會有點令人頭疼,因此請注意這一點。
值得一提的是,這個問題的“常見”解決方案似乎是留在工作組中,和/或在他們僱用的 IT 管理員身上節省開支,以確保他們最終獲得的域以比我能數。因此,主動至少嘗試做對是值得稱讚的。